Welche Auswirkungen hat die DSGVO?

Einleitung

Die Datenschutz-Grundverordnung (DSGVO) bildet ab 25. Mai 2018 den neuen rechtlichen Rahmen für die Verarbeitung personenbezogener Daten in Europa. Im Gegensatz zur Richtlinie 95/46/EG, die diese Verarbeitungen bisher regelte, ist die DSGVO in den EU-Mitgliedstaaten direkt anwendbar und muss nicht auf nationaler Ebene umgesetzt werden. Auf diese Weise wird Sie die Harmonisierung der Rechtsvorschriften zum Schutz personenbezogener Daten in Europa weiter vorantreiben. Darüber hinaus hat die DSGVO auch exterritorialen Charakter und besitzt somit internationalen Einfluss. So kann ihr Anwendungsbereich unter gewissen Umständen auch außerhalb der europäischen Grenzen liegen.

Wenn Sie ein Verarbeiter personenbezogener Daten sind, unterliegen höchstwahrscheinlich auch Sie den Bestimmungen der DSGVO und müssen die zugehörigen Verpflichtungen einhalten. Das Gleiche gilt auch für OVH, das als Verantwortlicher und Auftragsverarbeiter selbst an verschiedene Verpflichtungen gebunden ist.

Definitionen

Es ist nicht gerade einfach, die konkreten, spezifischen Herausforderungen einer europäischen Verordnung zu verstehen − vor allem, wenn diese 99 Artikel, 173 Erwägungsgründe und zahlreiche Leitlinien umfasst, die ihre Auslegung präzisieren. Ein gutes Verständnis dieser Herausforderungen ist jedoch unerlässlich, um mögliche Risiken durch Fehlinterpretation der Anforderungen zu vermeiden, die auf Ihre Unternehmensstruktur zutreffen. Die nachfolgenden Definitionen enthalten die wichtigsten Begriffe:

  • Personenbezogene Daten: alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
  • Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Erheben, Erfassen, Übermittlung, Speicherung, Auslesen, Abfragen, Verwendung, Verknüpfung etc.).
  • Verantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

OVH als Auftragsverarbeiter

Thumbnail

In dieser Funktion sind Ihre Anforderungen an OVH mit Sicherheit am höchsten. OVH gilt als "Auftragsverarbeiter", wenn das Unternehmen personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Das ist gewöhnlich der Fall, wenn Sie OVH Dienstleistungen verwenden und personenbezogene Daten auf einer OVH Infrastruktur speichern. Im Rahmen seiner technischen Möglichkeiten darf OVH diese Daten nur nach Ihren Anweisungen und auf Ihren Auftrag hin verarbeiten.

Verpflichtungen seitens OVH als Auftragsverarbeiter

Als Auftragsverarbeiter ist OVH insbesondere zu folgenden Aktionen verpflichtet:

  • Verarbeitung personenbezogener Daten ausschließlich zur korrekten Ausführung der Dienstleistungen: OVH wird Ihre Daten nie für einen anderen Einsatzzweck verwenden (Marketing etc.).
  • Keine Übertragung Ihrer Daten außerhalb der EU bzw. außerhalb eines Drittlands, dessen Datenschutzniveau von der Europäischen Kommission nicht als angemessen anerkannt wurde: Diese Verpflichtung gilt unter der Bedingung, dass Sie kein Rechenzentrum außerhalb der EU gewählt haben.
  • Benachrichtigung unserer Kunden bei jeder Invertragnahme eines Subunternehmens, das Zugriff auf deren personenbezogene Daten erhält: Bis heute wurde keine Dienstleistung außerhalb der OVH Gruppe ausgelagert, die den Zugriff auf im Rahmen unserer Dienstleistungen gespeicherte Daten ermöglicht.
  • Umsetzung erhöhter Sicherheitsstandards, um ein hohes Schutzniveau für unsere Dienstleistungen sicherzustellen.
  • Schnellstmögliche Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten.
  • Unterstützung unserer Kunden zur Einhaltung ihrer Pflichten im Rahmen der DSGVO mithilfe einer angemessenen Dokumentation zu unseren Dienstleistungen.

OVH Initiativen in ganz Europa

Um sein Engagement in Sachen Datenschutz zu verstärken, war OVH eines der Unternehmen hinter der Gründung des Verbands CISPE (Cloud Infrastructure Service Providers in Europe). CISPE hat einen Verhaltenskodex erstellt, dessen Ziel es ist, die korrekte Umsetzung der DSGVO durch Anbieter von Infrastructure as a Service (IaaS) zu fördern. Mit der Teilnahme an dieser Initiative zeigt OVH seine hohen Anforderungen und seinen Willen, die Datenschutzregeln für personenbezogene Daten europaweit zu vereinheitlichen.

Thumbnail

Das Private Cloud Angebot (IaaS) von OVH ist die erste OVH Dienstleistung, die für mit dem CISPE Verhaltenskodex konform erklärt wurde.

FAQ: OVH als Auftragsverarbeiter

Wer ist der Besitzer der personenbezogenen Daten, die vom Kunden im Rahmen der Dienstleistungen verwendet und gespeichert werden?

Der Kunde bleibt alleiniger Eigentümer der von ihm im Rahmen der OVH Dienstleistungen gespeicherten Daten.

OVH greift weder auf diese Daten zu noch werden sie verwendet, solange dies nicht für die korrekte Ausführung der Dienstleistungen notwendig ist, und auch dann nur innerhalb der technischen Grenzen dieser Dienstleistungen.

OVH ist es untersagt, die genannten Daten weiterzuverkaufen oder für eigene Zwecke (zum Beispiel Datamining, Profiling oder Direktmarketing) zu verwenden.

In welchen Fällen darf OVH auf die vom Kunden im Rahmen seiner Dienstleistungen gespeicherten Daten zugreifen und diese verwenden?

OVH hat nur in zwei Fällen Zugriff auf die Daten:

  • für die Ausführung der Dienstleistungen und insbesondere, um die Unterstützung der Kunden zu verbessern, wenn diese den OVH Kundendienst kontaktieren. Hierbei ist der Zugriff auf die Daten dank spezifischer Befugnisse sowie Kontroll- und Sicherheitsmaßnahmen genau geregelt.
  • um rechtliche Verpflichtungen im Rahmen juristischer und/oder administrativer Anfragen zu erfüllen. Diese Anfragen sind streng reguliert.

Zugriff im Rahmen des Kundendienstes:
Wenn der Kunde den OVH Support kontaktiert, kann je nach Anfrage auf zwei verschiedene Arten von Daten zugegriffen werden. Einerseits kann der Support auf die Daten zugreifen, die der Kunde bei Erstellung seines OVH Accounts angegeben hat (Name, Vorname, Telefonnummer, E-Mail-Adresse etc.).
Andererseits und nur auf ausdrückliche Anfrage des Kunden sowie innerhalb der technischen Grenzen jeder Dienstleistung kann der Support auch auf Daten zugreifen, die vom Kunden auf den OVH Dienstleistungen gespeichert wurden, um so die Ursache des vorliegenden Problems zu ermitteln und dieses letztendlich zu lösen.

Zugriff im Rahmen einer Anfrage von Justiz- und/oder Verwaltungsbehörden:
Um die geltenden Vorschriften zu erfüllen, ist OVH dazu verpflichtet, Anfragen der Justiz- und/oder Verwaltungsbehörden zu beantworten. Anträge auf Zugriff unterliegen einem strikten gesetzlichen Regelwerk und werden von OVH erst autorisiert, nachdem sichergestellt ist, dass diese gültig und hinreichend begründet sind. Außerdem verpflichtet sich OVH, sofern der Antrag oder das Gesetz dies nicht verbietet, den Kunden schnellstmöglich über eine solche Anfrage zu informieren. Anträge aus einem Drittland werden nur beantwortet, wenn diese auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind

Werden die Daten europäischer OVH Kunden auch außerhalb der Europäischen Union übertragen?

Es gibt zwei verschiedene Situationen, die von den Entscheidungen des Kunden bei der Wahl des Rechenzentrumsstandorts abhängen, an dem seine Daten gespeichert werden:

Wenn der Kunde eine Dienstleistung auswählt, deren Verwendung ein oder mehrere Rechenzentren in der Europäischen Union einschließt:
In diesem Fall werden die Daten des Kunden nie außerhalb folgender Länder transferiert:

  • Mitgliedstaaten der Europäischen Union
  • Drittländer, deren Schutzniveaus in Bezug auf personenbezogene Daten sowie zum Schutz der Privatsphäre, der Grundrechte und Grundfreiheiten von der Europäischen Kommission als angemessen anerkannt wurden. Die Liste dieser Länder kann jederzeit eingesehen werden, unter anderem auf der Website der Europäischen Kommission.

Nachdem Safe Harbor als ungültig erklärt wurde, und obwohl die Europäische Kommission das Datenschutzniveau nach Privacy Shield zertifizierter amerikanischer Organisationen als ausreichend anerkennt, übermittelt OVH niemals Kundendaten, deren geografische Zone sich innerhalb der EU befindet, in die Vereinigten Staaten.

Datentransfers in Länder, deren Datenschutzniveaus von der Europäischen Kommission als ausreichend anerkannt wurden, sind im Rahmen eines Eingriffs des OVH Supports möglich. Bei Rechenzentren innerhalb der Europäischen Union können Support-Teams aus der Europäischen Union und Kanada eingreifen, wobei Kanada von der Europäischen Kommission als Land mit angemessenem Schutzniveau für personenbezogene Daten anerkannt ist. Darüber hinaus behält OVH sich vor, Support-Dienstleistungen, die gegebenenfalls Zugriff auf Kundendaten beinhalten, im Rahmen der jeweiligen Dienstleistungen an andere Einheiten der OVH Gruppe zu übertragen, sofern diese ebenfalls über ein von der Europäischen Kommission als ausreichend anerkanntes Datenschutzniveau verfügen (ausgenommen der USA).

Die Garantien von OVH zu Datentransfers ermöglichen es OVH Kunden, ihre eigenen Verpflichtungen einzuhalten. Artikel 45 der DSGVO regelt die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses" und bestimmt, dass eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden darf, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.

Wenn der Kunde eine Dienstleistung auswählt, deren Verwendung ein Rechenzentrum außerhalb der Europäischen Union einschließt:
In diesem Fall werden Daten selbstverständlich außerhalb der Europäischen Union übertragen. Der Standort bzw. die geografische Zone des oder der Rechenzentren, die im Rahmen der Dienstleistung verwendet werden, ist auf der OVH Website angegeben. Sind mehrere Standorte verfügbar, kann der Kunde diese frei wählen. Unter Vorbehalt spezifischer Bedingungen für bestimmte Dienstleistungen ist es OVH untersagt, den bei der Bestellung angegebenen Standort bzw. die geografische Zone ohne ausdrückliche Genehmigung des Kunden zu ändern.

Zur Unterstützung von Organisationen, die personenbezogene Daten in Rechenzentren in einem Land außerhalb der Europäischen Union verarbeiten möchten, das kein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, kann OVH auf ausdrückliche Aufforderung die Umsetzung von Garantien aushandeln, die einen Datentransfer gemäß Artikel 46 der DSGVO ("Datenübermittlung vorbehaltlich geeigneter Garantien") ermöglichen.

OVH als Verantwortlicher

Das Unternehmen OVH gilt als „Verantwortlicher", wenn es über die Zwecke und Mittel „seiner" Verarbeitung von personenbezogenen Daten entscheidet.

Das ist gewöhnlich der Fall, wenn OVH Daten für folgende Zwecke erhebt: Abrechnung, Forderungsmanagement, Verbesserung der Dienstqualität und Performance, Direktmarketing, kaufmännische Geschäftsführung etc. Allerdings trifft dies auch zu, wenn OVH personenbezogene Daten seiner eigenen Mitarbeiter verarbeitet.

„Ihre" Daten, das heißt solche, die Sie im Rahmen von OVH Dienstleistungen speichern, sind hiervon nicht betroffen. Gewisse Informationen zu Ihnen oder Ihren Mitarbeitern, wie zum Beispiel Identität und Kontaktdaten der Kontaktperson für OVH im Rahmen einer technischen Support-Anfrage, können jedoch betroffen sein. Aus diesem Grund gibt Ihnen OVH weitere Informationen zu den Garantien für den Schutz personenbezogener Daten.

  • Begrenzung der Datenerhebung auf tatsächlich notwendige Daten: Entsprechend dieses Ansatzes geben Sie bei der Bestellung einer OVH Dienstleistung ausschließlich die Daten ein, die notwendig sind, damit OVH Abrechnungs- und Supportdienstleistungen vornehmen und seine rechtlichen Verpflichtungen hinsichtlich der Datenspeicherung erfüllen kann.
  • Ausschließliche Verwendung von Daten zu dem Zweck, für den diese ursprünglich erhoben wurden.
  • Speicherung personenbezogener Daten für eine begrenzte und verhältnismäßige Dauer. So werden zum Beispiel Daten, die für das Customer-Relationship-Management von OVH Kunden verarbeitet werden (Name, Vorname, Postadresse, E-Mail-Adresse etc.) für die Dauer der Vertragslaufzeit und die 36 darauffolgenden Monate gespeichert. Nach Ablauf dieser Frist werden Sie von allen Speichermedien und aus sämtlichen Backups gelöscht.
  • Keine Übermittlung dieser Daten an andere Dritte als verbundene Unternehmen von OVH, die zwecks Ausführung des Vertrags beteiligt sind. Im Rahmen solcher Datentransfers innerhalb der OVH Gruppe können bestimmte Daten auch außerhalb der Europäischen Union übertragen werden, sofern verbindliche interne Datenschutzrichtlinien der OVH Gruppe befolgt werden.
  • Umsetzung technischer und organisatorischer Maßnahmen, die ein hohes Datenschutzniveau gewährleisten.